Недавно специалисты по безопасности продемонстрировали способ, как изготовить накладку на палец с чужим рисунком кожи, сделав копию по фотографиям высокого разрешения. В интернете немало детальных фотографий с ладонями политиков. Копию можно изготовить не только с фотографии, но и со следа на стакане, столе или экране мобильного телефона.

Теперь хакеры пошли ещё дальше, что вполне логично, ведь в интернете ещё больше фотографий с глазами политиков, так что теоретически можно обмануть биометрические сканеры радужной оболочки глаза.

Пошаговый процесс выполнения «копии» представят на конференции CanSecWest, которая пройдёт 18-20 марта 2015 года в Ванкувере. Туда заявился с докладом специалист по безопасности Ян Starbug Крисслер из известного хакерского клуба Chaos Computer Club. Он говорит, что ему удалось обойти проверку, например, в сканере Panasonic Authenticam BM-ET200, который он достал для тестирования. Этот сканер, вообще-то, уже снят с производства, но до сих пор много где используется.

Крисслер сказал, что подходящая фотография должна быть достаточно яркой. Кроме того, она должна быть большой и детализированной. Но это не особая проблема: как показал опыт, для обмана сканера достаточно фотографии радужной оболочки с диаметром от 75 пикселов, в идеале должно быть видно больше 75% изображения радужной оболочки. Печатать следует на принтере с разрешением 1200 dpi.

В отличие от сканеров отпечатков пальцев, тут процесс изготовления копии гораздо проще: хватит обычной распечатки, не нужно использовать желатин, трафарет и прочее.

Для проверки Крисслер нашёл в интернете несколько фотографий глав государств высокого разрешения. Например, избирательный плакат Ангелы Меркель высокого разрешения с диаметром радужной оболочки глаз 175 пикселов, что просто идеально.

Без труда в сети находятся фотографии глаз других известных политиков: Владимира Путина, Хиллари Клинтон и Дэвида Кэмерона. У двоих последних разрешение снимков точно достаточное.

004

005

Крисслер для поиска образцов просматривал порнографические фильмы в разрешении 4K и тоже нашёл на удивление много кадров с подходящими глазами.

19 комментариев

  1. Аватар

    06.03.2015 в 07:01

    последнее предложение убило)))

    • Аватар

      06.03.2015 в 11:15

      Небольшая поправочка, надо было в конце написать не «нашёл на удивление много кадров с подходящими глазами», а «с большими галазами».

  2. Аватар

    06.03.2015 в 08:00

    Vsevidyashee oko teper’ sledit za vsemi i na xakep-e

  3. Аватар

    06.03.2015 в 10:48

    у ВВП есть двойники….по сему нужно еще вычислить где настоящий.

  4. Аватар

    06.03.2015 в 16:19

    Уважаемый Хакер, почему нет ссылки на эти фильмы с разрешением 4К?!

  5. Аватар

    06.03.2015 в 21:04

    Достало уже! До-ста-ло! Сколько адекватных способов авторизации есть ? Адекватных то-есть безопасных. Безопасных то-есть абсолютно не копируемых и не взламываемых. Не копируемых то-есть зависимых только от меня. Не взламываемых то-есть криптостойких, уникальных …

    Хакер напиши, пожалуйста, статью про рейтинг самых безопасных методов аутентификации — скажем топ 10.

    • Аватар

      https://vk.com/publicshadowhd

      06.03.2015 в 21:40

      вообще-то всегда для резкого увеличения защиты использовалась комбинация мер защиты. Например, между злоумышленником и содержимом вашего сейфа стоит только сканер глаза — он как-то нашел ваше фото и взломал его. Добавьте сюда сканер пальца и ввод секретного кода и задача для взломщика становится почти невыполнимой (проще раскурочить сейф, чем найти всё это). Даже сейчас на сайтах появляется двойная авторизация через пароль и мобильный телефон — тоже весьма трудный способ взлома без личного контакта с жертвой. Добавим ко всему этому функцию тревоги (например, если промежуток между прохождением двух этапов авторизации больше 15с, то включается тревога со всеми выходящими последствиями) — и всё, у Вас практически неуязвимый кроме как для вас способ авторизации. Если только вы не использовали самые известные способы авторизации, в которых уже успели найти дырки, либо сами плохо следили за защитой (не меняли пароль или случайно рассказали его кому-нибудь и т.п.). В общем, защита больше зависит от пользователя, чем от систем защиты

      • Аватар

        06.03.2015 в 22:57

        >>> В общем, защита больше зависит от пользователя, чем от систем защит

        Верно

      • Аватар

        08.03.2015 в 00:30

        В результате размышлений в течении последних нескольких дней я пришёл к тому результату что самый безопасный метод авторизации это тот который связан с хранимой информацией в нашей памяти. Пароли из символов или на изображениях … По сути остальные виду авторизации которые сегодня распространены легко подделать или взломать — те же отпечатки пальцев или сканирование сетчатки глаза, ушных раковин … Но здесь есть другая проблема текстовые пароли можно подобрать (что порой слишком медленно) или проследить когда их вводит пользователь (что порой легко осуществить ввиду того что существует большое количество дыр в операционных системах). И тогда меня посетила довольно интересная идея которая может решить проблему ввода пароля в операционных системах таким образом чтобы не какое приложение не проследило ввод пароля. К примеру возьмём Windows. Можно создать режим ввода пароля который будет вводиться на рабочем столе WinSta0Winlogon таким образом можно обезопасить ввод пароля — защиащая его от «постороних глаз». Правда с этим все не кончается поскольку введённый пароль ещё нужно безопасно вернуть программе которая запросила её, но думаю это не будет сложной задачей для разработчиков ОС.

        Как бы то не было на сегодня по все видимости безопасны лишь те виды авторизации которые требуют некой информации из нашей памяти, а не по некоторым нашим внешним признакам или свойствам. Следовательно, разработчики ОС должны задаться целю создать безопасную среду для ввода паролей пользователей.

        • Аватар

          10.03.2015 в 03:28

          Представим ситуацию с вк.ру.
          Мой компьютер отслеживается 2, может день. Попытались как-то войти в мой компьютер, нашли лазейку может через какую-то dll библиотеку(21-ый век же). И тут я вхожу вк, атакующий включает невидимую оболочку браузера с входом таким же в вк(но, при этом вход происходит у атакующего и у меня-пароль по идеи должен прийти один мне), тут атакующий обрубает ввод с моей оболочки и о я ввожу данные на оболочку атакующего, не понимая(не видя) этого — тут атакующей получает данные и тырит мои данные с фотками где я в душе трясу дилдой(ну, это примерно).
          Приходя на след. день на работу(яж будто директор), вижу на трафарете свое обнаженное тело и толпу аплодирующих стоя:

          — Вуууу, зачет Вася! Директор компании, обнаженный директор, залог успеха и девушек около его ног. Мир будет нашим!
          Да, это все не к чему. Но смысл идет, о создании такой оболочки(может уже есть). Такое же реально, и тем более взламывают по айпи компьютеры школьники любых мам его друзей.

          А к примеру, отойдем от оболочки. Куки, те самые вкусные печеньки хакера. Прошуршим трафик мак адреса нашей жертвы, получаем куки и данные в наших руках.
          Все технологии связывающие интернет, потоковые данные — уязвимы, и любую технологию можно нагнуть и по своему наказать!

          Самое надежное, правильно сказал! Это наша память, которая ни черта не работает -_-. А эти бумажки, особенно интернет…пффф.

          Думаю в наше последующее время, надо думать о безопасности данных человека. Ибо, интернет становится обширнее и уже младенцам он понятен во всех позах. Школьники не знающие ассемблер, взламывают различные сферы(будто сайт, будто ддос через пинг из 1000 cmd окон).

          Но, видимо этой безопасности не ждать нам. Каждый хочет друг друга поиметь.

          • Аватар

            10.03.2015 в 14:47

            Я с вами абсолютно согласен. Я просто хочу подчеркнуть что вклад разработчиков ОС не заметен. Необходимо предоставлять для нас различные возможности для работы конфиденциальными данными. Почему я об этом говорю ? Поскольку взлом и кража данных в последнее время переходит совершенно на другой уровень — некоторые виды взлома порождают чуть ли не фундаментальные проблемы. И во многих случаях проблема будет решена если сами ОС будут нам помогать.
            ПРИМЕР: кража куков или сессии. Мы можем сказать ну вот ввели пароль — ввели его так что не кто не проследил — но вот сессию как защитить ? А ведь куки могут прочитать как из оперативной так и из постоянной памяти. Фактически разработчики ОС нам не дают некий безопасный туннель для работы с такими данными. Почему бы не создать интерфейс для того чтоб определённый процесс мог в постоянной или оперативной памяти записать данные которые не какой процесс прочитать не сможет. Сразу будут возражения:

            — Вся память в постоянной или в оперативной памяти всегда должна быть доступна любому процессу.
            — Есть утилиты которым необходима вся память например дефрагментаторы …
            — Это нарушение краеугольных принципов по управлению памятую в современных операционных системах.
            — Парой необходимы дампы памяти, а как быть с этой памятью.
            Да да и еще раз да согласен. На что юто указывает ?
            Но в данном случае у нас есть проблема приоритетное — конфиденциальность. Это сейчас более важнее. Да кто-то может возражать — но само ядро ОС и сама эта программа будут иметь доступ к этой памяти — а может в них самих будет уязвимость …

            Это не предложение, а всего лишь описание того как реагируют некоторые специалисты когда речь заходит о том как обеспечить безопасность в ОС или в программах.

            Если будем седеть и просто перечислять проблемы безопасности то этом не чего не решим. Необходимы конкретные, целенаправленные шаги от разработчиков ОС. Кораблём управляют когда он в пути, а не повязан к порту.

            Я считаю что сейчас мы стоим перед переломным временем когда будет решено сможем ли в цифровом мире сохранять конфиденциальность и, следовательно, безопасность или мы все смеримся с тем что любая информация уже не сможет иметь частный характер.

            А сейчас все сидят и кивают головой. Все те кто заинтересован конфиденциальностью это частные компании которые разрабатывают узко применяемые инструменты для обеспечения безопасности, но сами разработчики ОС — нам не предоставляют не чего.

            • Аватар

              10.03.2015 в 21:44

              С вами полностью согласен!

              Было бы для начала интересным решением, это зашифровывать всю информацию. Но, тут страдает память в этом случае. И во все, не нам придумывать что делать. Все равно, пишем тут…как в воздух говоря со Светой на лавке, пощелкивая семечки…встаешь и делаешь все тоже самое, что и делал. Ждешь чуда, и надеешься что тебя услышат.

              А к примеру, если провести акцию, по защите безопасности прав граждан. Именно их нарушают… Выкладывая столь большое количество аккаунтов, а там наша конфиденциальная информация!

              И акция хоть как-то зашевелит наших детищь! Не, не государство…хотя бы хакеров наших, может они нам помогут выйти из положения эдакого.

              И да, все ведет к одному. Компьютер детям рано отдали. Дети — это люди не умевшие пользоваться ЭВМ, знать технические его данные и не знания защиты безопасности. Как права надо сдавать, на эту ЭВМ в наше время 🙂

  6. Аватар

    06.03.2015 в 22:58

    А у пукина угри на носу! Кожа жирная! И глазёнки шаловливые! Слава Украине!

  7. Аватар

    08.03.2015 в 10:03

    О, эти рыбьи глаза на фото в превью статьи я узнаю где угодно!

    • Аватар

      08.03.2015 в 20:37

      ты уверен, что ты знаешь как выглядят рыбы?

      • Аватар

        maac

        31.08.2015 в 22:07

        Нет, он просто лучше умеет управлять страной, а кто с ним не согласен — в тех глазах он «узнаёт» рыбьи. Тут вопрос не технический, а принципиальный (бендеры от таких вопросов до сих пор скачут).

Оставить мнение